해킹 핵심 목표는 DB다

최근 금융권에 대한 해킹 사태로 세계 최강 정보기술(IT) 국가의 보안 문제가 현안으로 대두되고 있다. 피해규모는 2006년 리니지의 120만 명 명의도용을 시작으로 2008년 옥션 1863만 명, GS칼텍스 1125만 명, SK컴즈 3500만 명 개인정보 유출 등 점차 커지고 있는 추세다. 실제로 최근의 해킹 사태 이후 도용한 정보를 이용해 신용카드가 발급되는 등 금융권에서 2차 피해가 현실화되고 있다. 하루가 멀다 하고 우리를 괴롭히던 해킹 사건들은 전초전에 불과하다는 말이 나오고 있을 정도다.

　사이버 공격의 최종 목표는 대부분 데이터베이스에 저장된 데이터다. 하지만 현재까지 대부분의 정보보안은 네트워크 보안, 애플리케이션 보안 등 내외부의 사이버 공격으로부터 경계선 방어에만 치중하고 있지 궁극적인 보호 대상인 데이터와 DB 자체에 대해서는 안이하게 대처해 왔다고 볼 수 있다. 물론 완벽한 보안은 있을 수 없다고 하지만 최선의 보안을 갖추어야 하는 것이 국민과 고객의 정보를 다루는 국가와 기업의 의무다. 최선의 보안은 기업 스스로의 노력과 정부의 정책적 지원이 톱니바퀴처럼 맞물려 돌아가는 선순환 구조를 정착시킬 때에야 가능하다.

　우선 국가나 기업은 정보화담당자가 정보보안의 책임을 겸하고 더 나아가 DB 보안을 일부 업무로 치부하는 현재의 체계를 지양하고 DB 보안 전문 인력을 별도로 배치함으로써 강력한 책임과 권한을 부여하도록 해야 한다.

　특히 정부는 DB 보안에 대한 정확한 가이드를 제시해야 한다. 명확한 가이드 제시가 사이버 공격에 대해 우왕좌왕 헤매지 않고 사태를 수렁에 빠뜨리지 않는 방법이다.

　DB 보안의 관리 방법과 기준, 대상 등을 포함한 포괄적 단일 법안을 마련하는 것도 중요하다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 정보보호에 대한 규정이 있으나, 통신망을 통해 전송되는 정보에 한정돼 있어 DB에 저장돼 처리되는 데이터에 대해서는 적용하기 어렵기 때문이다.

　결론적으로 정보보안의 궁극적인 대상은 ‘DB’다. 그리고 그 안에 저장된 ‘데이터’다. 하지만 우리는 지금껏 정작 지켜야 할 핵심은 소홀히 한 채 그것을 둘러싼 껍질만을 두껍게 한 것은 아닌지 생각해 봐야 한다.

한응수 한국데이터베이스진흥원 원장